計(jì)算機(jī)網(wǎng)絡(luò)安全10網(wǎng)絡(luò)安全解決方案.ppt

第10章網(wǎng)絡(luò)安全解決方案 內(nèi)容提要 網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全解決方案單機(jī)用戶網(wǎng)絡(luò)安全解決方案內(nèi)部網(wǎng)絡(luò)安全管理制度小結(jié) 10 1網(wǎng)絡(luò)安全體系結(jié)構(gòu) 1 網(wǎng)絡(luò)信息安全的基本問(wèn)題網(wǎng)絡(luò)信息安全的基本問(wèn)題是眾所周知的諸要素 可用性 保密性 完整性 可控性與可審查性等 最終要解決是使用者對(duì)基礎(chǔ)設(shè)施的信心和責(zé)任感的問(wèn)題 返回本章首頁(yè) 網(wǎng)絡(luò)時(shí)代的信息安全有非常獨(dú)特的特征 研究信息安全的困難在于 邊界模糊評(píng)估困難安全技術(shù)滯后管理滯后 返回本章首頁(yè) 2 網(wǎng)絡(luò)與信息安全體系要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系 至少應(yīng)包括三類措施 并且三者缺一不可 一是社會(huì)的法律政策 規(guī)章制度措施二是技術(shù)措施三是審計(jì)和管理措施 返回本章首頁(yè) 數(shù)據(jù)安全 平臺(tái)安全 服務(wù)安全要求用完整的信息保障體系 并不斷發(fā)展傳統(tǒng)的信息安全概念 保護(hù) 檢測(cè) 響應(yīng) 恢復(fù)涵蓋了對(duì)現(xiàn)代網(wǎng)絡(luò)信息系統(tǒng)保護(hù)的各個(gè)方面 構(gòu)成了一個(gè)完整的體系 使網(wǎng)絡(luò)信息安全建筑在更堅(jiān)實(shí)的基礎(chǔ)之上 返回本章首頁(yè) 1 保護(hù) Protect 保護(hù)包括傳統(tǒng)安全概念的繼承 用加解密技術(shù) 訪問(wèn)控制技術(shù) 數(shù)字簽名技術(shù) 從信息動(dòng)態(tài)輿 數(shù)據(jù)靜態(tài)存儲(chǔ)和經(jīng)授權(quán)方可使用 以及可驗(yàn)證的信息交換過(guò)程等到方面對(duì)數(shù)據(jù)及其網(wǎng)上操作加以保護(hù) 返回本章首頁(yè) 2 檢測(cè) Detect 檢測(cè)的含義是 對(duì)信息傳輸?shù)膬?nèi)容的可控性的檢測(cè) 對(duì)信息平臺(tái)訪問(wèn)過(guò)程的甄別檢測(cè) 對(duì)違規(guī)與惡意攻擊的檢測(cè) 對(duì)系統(tǒng)與網(wǎng)絡(luò)弱點(diǎn)與漏洞的檢測(cè)等等 返回本章首頁(yè) 3 響應(yīng) React 在復(fù)雜的信息環(huán)境中 保證在任何時(shí)候信息平臺(tái)能高效正常運(yùn)行 要求安全體系提供有力的響應(yīng)機(jī)制 返回本章首頁(yè) 4 恢復(fù) Restore 狹義的恢復(fù)指災(zāi)難恢復(fù) 在系統(tǒng)受到攻擊的時(shí)候 評(píng)估系統(tǒng)受到的危害與損失 按緊急響應(yīng)預(yù)案進(jìn)行數(shù)據(jù)與系統(tǒng)恢復(fù) 啟動(dòng)備份系統(tǒng)恢復(fù)工作等 廣義的恢復(fù)還包括災(zāi)難生存等現(xiàn)代新興學(xué)科的研究 返回本章首頁(yè) 保護(hù) 檢測(cè) 響應(yīng) 恢復(fù)四個(gè)概念之間存在著一定的因果和依存關(guān)系 形成一個(gè)整體 如果全面的保護(hù)仍然不能確保安全 這在現(xiàn)階段是必然的 就需要檢測(cè)來(lái)為響應(yīng)創(chuàng)造條件 有效與充分地響應(yīng)安全事件 將大大減少對(duì)保護(hù)和恢復(fù)的依賴 恢復(fù)能力是在其他措施均失準(zhǔn)備的情形下的最后保障機(jī)制 返回本章首頁(yè) 3 網(wǎng)絡(luò)安全體系結(jié)構(gòu)要使信息系統(tǒng)免受攻擊 關(guān)鍵要建立起安全防御體系 從信息的保密性 拓展到信息的完整性 信息的可用性 信息的可控性 信息的不可否認(rèn)性等 為研究的方便 可以將其簡(jiǎn)化為用三維框架表示的結(jié)構(gòu)模型 其構(gòu)成要素是安全特性 系統(tǒng)單元及開(kāi)放互連參考模型結(jié)構(gòu)層次 返回本章首頁(yè) 返回本章首頁(yè) 安全防御體系結(jié)構(gòu)框架 上述框架模型是一個(gè)立體空間結(jié)構(gòu) 突破了以往分散孤立地考慮安全問(wèn)題的舊模式 是站在頂層從整體上對(duì)網(wǎng)絡(luò)安全進(jìn)行分析和描述的 它把與網(wǎng)絡(luò)安全相關(guān)的物理 規(guī)章及人員等安全要素都容納其中 涉及系統(tǒng)保安和人員的行政管理等方面的各種法令 法規(guī) 條例和制度等也均在其考慮之列 返回本章首頁(yè) 在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì) 規(guī)劃時(shí) 應(yīng)遵循以下原則 需求 風(fēng)險(xiǎn) 代價(jià)平衡分析的原則綜合性 整體性原則一致性原則易操作性原則適應(yīng)性 靈活性原則多重保護(hù)原則 返回本章首頁(yè) 任何安全保護(hù)措施都不是絕對(duì)安全的 都可能被攻破 為此需要構(gòu)建全方位的安全體系 全方位的安全體系的主要內(nèi)容包括 訪問(wèn)控制檢查安全漏洞攻擊監(jiān)控加密通訊認(rèn)證備份和恢復(fù) 返回本章首頁(yè) 10 2網(wǎng)絡(luò)安全解決方案 1 網(wǎng)絡(luò)安全需求分析 1 網(wǎng)絡(luò)安全需求分析的基本原則網(wǎng)絡(luò)系統(tǒng)的安全性和易用性在很多時(shí)候是矛盾的 因此 在做安全需求分析時(shí)需要在其中找到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn) 如果安全原則妨礙了系統(tǒng)應(yīng)用 那么這個(gè)安全原則就不是一個(gè)好的原則 返回本章首頁(yè) 在做需求分析時(shí)需要確立的幾種意識(shí) 風(fēng)險(xiǎn)意識(shí)權(quán)衡意識(shí)相對(duì)意識(shí)集成意識(shí) 返回本章首頁(yè) 2 安全威脅分析企業(yè)網(wǎng)絡(luò)面臨的安全威脅主要來(lái)自以下方面 操作系統(tǒng)的安全性 防火墻的安全性 來(lái)自內(nèi)部網(wǎng)用戶的安全威脅 缺乏有效的手段監(jiān)視 評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全性 返回本章首頁(yè) 采用的TCP IP協(xié)議族軟件 本身缺乏安全性 應(yīng)用服務(wù)的安全性 未能對(duì)來(lái)自Internet的電子郵件夾帶的病毒及Web瀏覽可能存在的Java ActiveX控件進(jìn)行有效控制 返回本章首頁(yè) 一套完整的網(wǎng)絡(luò)安全解決方案 應(yīng)該根據(jù)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的具體特征和應(yīng)用特點(diǎn) 有針對(duì)性地解決可能面臨的安全問(wèn)題 具體來(lái)講 需要考慮的問(wèn)題包括 關(guān)于物理安全的考慮關(guān)于數(shù)據(jù)安全的考慮數(shù)據(jù)備份的考慮防病毒的考慮關(guān)于操作系統(tǒng) 數(shù)據(jù)庫(kù) 應(yīng)用系統(tǒng)的安全考慮 返回本章首頁(yè) 網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu)的考慮通信系統(tǒng)安全的考慮關(guān)于口令安全的考慮關(guān)于軟件研發(fā)安全的考慮關(guān)于人員安全因素的考慮網(wǎng)絡(luò)相關(guān)設(shè)施的設(shè)置和改造安全設(shè)備的選型安全策略與安全管理保障機(jī)制的設(shè)計(jì) 返回本章首頁(yè) 網(wǎng)絡(luò)安全行政與法律保障體系的建立長(zhǎng)期安全顧問(wèn)服務(wù)服務(wù)的價(jià)格事件處理機(jī)制安全監(jiān)控網(wǎng)絡(luò)和安全監(jiān)控中心的建立安全培訓(xùn)等 返回本章首頁(yè) 3 企業(yè)網(wǎng)絡(luò)的安全需求分析企業(yè)網(wǎng)絡(luò)的基本安全需求企業(yè)網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備 服務(wù)器 保護(hù)這些設(shè)備的正常運(yùn)行 維護(hù)主要業(yè)務(wù)系統(tǒng)的安全 是企業(yè)網(wǎng)絡(luò)的基本安全需求 返回本章首頁(yè) 業(yè)務(wù)系統(tǒng)的安全需求企業(yè)網(wǎng)絡(luò)應(yīng)保障 訪問(wèn)控制 確保業(yè)務(wù)系統(tǒng)不被非法訪問(wèn) 數(shù)據(jù)安全 保證數(shù)據(jù)庫(kù)軟硬件系統(tǒng)的整體安全性和可靠性 入侵檢測(cè) 能及時(shí)發(fā)現(xiàn) 記錄和跟蹤破壞業(yè)務(wù)系統(tǒng)的惡意行為 提供非法攻擊的證據(jù) 來(lái)自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)帶來(lái)的安全隱患 返回本章首頁(yè) Internet服務(wù)網(wǎng)絡(luò)的安全需求Internet服務(wù)網(wǎng)絡(luò)安全需求是保護(hù)網(wǎng)絡(luò)不受破壞 確保網(wǎng)絡(luò)服務(wù)的可用性 Internet服務(wù)網(wǎng)絡(luò)分為兩個(gè)部分 提供網(wǎng)絡(luò)用戶對(duì)Internet的訪問(wèn)提供Internet對(duì)網(wǎng)內(nèi)服務(wù)的訪問(wèn) 返回本章首頁(yè) 作為信息網(wǎng)絡(luò)之間互聯(lián)的邊界安全應(yīng)作為主要安全需求包括 保證信息網(wǎng)絡(luò)間安全互聯(lián) 能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全隔離 對(duì)于專有應(yīng)用的安全服務(wù) 必要的信息交互的可信任性 能夠提供對(duì)于主流網(wǎng)絡(luò)應(yīng)用的良好支持 返回本章首頁(yè) 信息網(wǎng)絡(luò)公共資源能夠?qū)﹂_(kāi)放用戶提供安全訪問(wèn) 對(duì)網(wǎng)絡(luò)安全事件的審計(jì) 對(duì)于網(wǎng)絡(luò)安全狀態(tài)的量化評(píng)估 對(duì)網(wǎng)絡(luò)安全狀態(tài)的實(shí)時(shí)監(jiān)控 返回本章首頁(yè) 信息網(wǎng)絡(luò)內(nèi)部的安全需求 包括 信息網(wǎng)絡(luò)中的各單位網(wǎng)絡(luò)之間建立連接控制手段 能夠滿足信息網(wǎng)絡(luò)內(nèi)的授權(quán)用戶對(duì)相關(guān)專用網(wǎng)絡(luò)資源訪問(wèn) 同時(shí)對(duì)于遠(yuǎn)程訪問(wèn)用戶增強(qiáng)安全管理 加強(qiáng)對(duì)于整個(gè)信息網(wǎng)絡(luò)資源和人員的安全管理與培訓(xùn) 返回本章首頁(yè) 4 安全需求分析的一般過(guò)程 返回本章首頁(yè) 本節(jié)以某公司網(wǎng)絡(luò)為例 來(lái)介紹進(jìn)行安全需求分析的一般過(guò)程 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如右圖所示 網(wǎng)絡(luò)系統(tǒng)的總體安全需求是建立在對(duì)網(wǎng)絡(luò)安全層次分析基礎(chǔ)上的 對(duì)于基于TCP IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō) 安全層次是與TCP IP協(xié)議層次相對(duì)應(yīng)的 針對(duì)網(wǎng)絡(luò)的實(shí)際情況 可以將安全需求層次歸納為網(wǎng)絡(luò)層安全和應(yīng)用層安全兩個(gè)技術(shù)層次 同時(shí)將在各層都涉及的安全管理部分單獨(dú)作為一部分進(jìn)行分析 返回本章首頁(yè) 網(wǎng)絡(luò)層需求分析網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊 確保網(wǎng)絡(luò)服務(wù)的可用性 能夠防范來(lái)自Internet的對(duì)提供服務(wù)的非法利用 防范來(lái)自Internet的網(wǎng)絡(luò)入侵和攻擊行為的發(fā)生 對(duì)于內(nèi)部網(wǎng)絡(luò)提供高于網(wǎng)絡(luò)邊界更高的安全保護(hù) 返回本章首頁(yè) 應(yīng)用層需求分析應(yīng)用層的安全需求是針對(duì)用戶和網(wǎng)絡(luò)應(yīng)用資源的 主要包括 合法用戶可以以指定的方式訪問(wèn)指定的信息 合法用戶不能以任何方式訪問(wèn)不允許其訪問(wèn)的信息 非法用戶不能訪問(wèn)任何信息 用戶對(duì)任何信息的訪問(wèn)都有記錄 返回本章首頁(yè) 安全管理需求分析能否制定一個(gè)統(tǒng)一的安全策略 在全網(wǎng)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的安全管理 對(duì)于企業(yè)網(wǎng)來(lái)說(shuō)是至關(guān)重要的 安全管理主要包括三個(gè)方面 內(nèi)部安全管理網(wǎng)絡(luò)安全管理應(yīng)用安全管理 返回本章首頁(yè) 2 網(wǎng)絡(luò)安全解決方案 1 網(wǎng)絡(luò)安全解決方案的層次劃分第一部分為法律 法規(guī)與管理手段第二部分為增強(qiáng)的用戶認(rèn)證第三部分是授權(quán)第四部分是加密第五部分為審計(jì) 監(jiān)控和數(shù)據(jù)備份 返回本章首頁(yè) 在上述網(wǎng)絡(luò)和信息安全模型中 五個(gè)部分是相輔相成 缺一不可的 其中底層是上層保障的基礎(chǔ) 如果缺少下面各層次的安全保障 上一層的安全措施則無(wú)從說(shuō)起 返回本章首頁(yè) 2 網(wǎng)絡(luò)安全解決方案 返回本章首頁(yè) 根據(jù)上述網(wǎng)絡(luò)安全解決方案的層次分析 可以設(shè)計(jì)出如圖所示的網(wǎng)絡(luò)安全解決方案 在總部網(wǎng)關(guān)位置配置CheckPointFirewall 1防火墻 劃分多安全區(qū)域 將內(nèi)網(wǎng) 對(duì)外發(fā)布的WebServer和電子商務(wù)網(wǎng)站放置在不同的網(wǎng)絡(luò)安全區(qū)域 在服務(wù)器區(qū)前放置CheckPointFirewall 1防火墻模塊 其他區(qū)域?qū)Ψ?wù)器區(qū)的訪問(wèn)必須經(jīng)過(guò)防火墻模塊的檢查 在中心交換機(jī)上配置基于網(wǎng)絡(luò)的IDS系統(tǒng) 監(jiān)控整個(gè)網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)流量 返回本章首頁(yè) 在服務(wù)器區(qū)內(nèi)的重要服務(wù)器 如Sybase數(shù)據(jù)庫(kù)服務(wù)器等 安裝基于主機(jī)的入侵檢測(cè)系統(tǒng) 對(duì)所有對(duì)數(shù)據(jù)庫(kù)服務(wù)器的訪問(wèn)進(jìn)行監(jiān)控 并對(duì)數(shù)據(jù)庫(kù)服務(wù)器的操作進(jìn)行記錄和審計(jì) 將電子商務(wù)網(wǎng)站和進(jìn)行公司普通Web發(fā)布服務(wù)器進(jìn)行獨(dú)立配置 對(duì)電子商務(wù)網(wǎng)站的訪問(wèn)將需要身份認(rèn)證和加密傳輸 保證電子商務(wù)的安全性 返回本章首頁(yè) 在DMZ區(qū)的電子商務(wù)網(wǎng)站配置基于主機(jī)的入侵檢測(cè)系統(tǒng) 防止來(lái)自Internet對(duì)Http服務(wù)的攻擊行為 在公司總部安裝Spa統(tǒng)一認(rèn)證服務(wù)器 對(duì)所有需要的認(rèn)證進(jìn)行統(tǒng)一管理 并根據(jù)客戶的安全級(jí)別設(shè)置所需要的認(rèn)證方式 如靜態(tài)口令 動(dòng)態(tài)口令 數(shù)字證書(shū)等 返回本章首頁(yè) 3 設(shè)備說(shuō)明防火墻設(shè)備在本方案中選用的防火墻設(shè)備是CheckPointFireWall 1防火墻 FireWall 1功能特點(diǎn)有 對(duì)應(yīng)用程序的廣泛支持集中管理下的分布式客戶機(jī) 服務(wù)器結(jié)構(gòu)遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)的安全保障 FireWall 1SecuRemote 返回本章首頁(yè) 防病毒設(shè)備在本方案中防病毒設(shè)備選用的是趨勢(shì)科技的整體防病毒產(chǎn)品和解決方案 包括中央管理控制 服務(wù)器防病毒和客戶機(jī)防病毒三部分 返回本章首頁(yè) 入侵監(jiān)測(cè)設(shè)備在本方案中入侵監(jiān)測(cè)設(shè)備采用的是NFR入侵監(jiān)測(cè)設(shè)備 包括NFRNID和NFRHID NFR把基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)NID和基于主機(jī)的入侵檢測(cè)技術(shù)HID完美地結(jié)合起來(lái) 構(gòu)成了一個(gè)完整的 一致的實(shí)時(shí)入侵監(jiān)控體系 返回本章首頁(yè) SPA身份認(rèn)證設(shè)備本方案采用的身份認(rèn)證設(shè)備是SecureComputing的SafeWord SafeWord具備分散式運(yùn)作及無(wú)限制的可擴(kuò)充特性 返回本章首頁(yè) 10 3單機(jī)用戶網(wǎng)絡(luò)安全解決方案 由于當(dāng)前個(gè)人用戶使用Windows類操作系統(tǒng)的占大多數(shù) 因此本節(jié)所討論的單機(jī)用戶網(wǎng)絡(luò)安全解決方案主要是針對(duì)Windows系列操作系統(tǒng)的 單機(jī)上網(wǎng)用戶面臨的安全問(wèn)題主要包括 返回本章首頁(yè) 計(jì)算機(jī)硬件設(shè)備的安全計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲(chóng)惡意攻擊木馬程序網(wǎng)站惡意代碼操作系統(tǒng)和應(yīng)用軟件漏洞等 返回本章首頁(yè) 1 Windows98安全解決方案 1 Windows98系統(tǒng)面臨的安全威脅Windows98系統(tǒng)的可控性和可管理性相對(duì)較差 從自身來(lái)講安全性不強(qiáng) 但同時(shí)來(lái)自于Internet上的安全威脅又相對(duì)較少 主要體現(xiàn)在 返回本章首頁(yè) 惡意網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)共享漏洞惡意網(wǎng)站代碼不明來(lái)歷的包含病毒與木馬的應(yīng)用程序惡意電子郵件攻擊等 返回本章首頁(yè) 其中電子郵件帶來(lái)的安全問(wèn)題主要包括 電子郵件容易被截獲電子郵件客戶端軟件設(shè)計(jì)存在缺陷 返回本章首頁(yè) 2 Windows98安全解決方案根據(jù)以上的分析對(duì)Windows98系統(tǒng)的安全解決方案主要包括 防病毒與木馬防網(wǎng)絡(luò)攻擊防網(wǎng)站惡意代碼電子郵件安全 返回本章首頁(yè) 防病毒與木馬防病毒與木馬主要依賴于防病毒軟件 目前比較流行的有代表性的防病毒軟件有 NortonAnti Virus KasperskyAnti Virus 江民的KV系列 金山毒霸和瑞星等 防病毒軟件通常也具有一定防木馬的能力 專業(yè)的防木馬軟件有 木馬克星 Anti Trojan TrojanRemover等 安裝防病毒軟件絕對(duì)不是一勞永逸的 一定要養(yǎng)成定期更新病毒代碼庫(kù)的良好習(xí)慣 返回本章首頁(yè) 防網(wǎng)絡(luò)攻擊防網(wǎng)絡(luò)攻擊的有效手段是安裝個(gè)人防火墻 應(yīng)用防火墻軟件最主要的是要設(shè)置好防火墻的規(guī)則 只有這樣才能正常發(fā)揮抵御網(wǎng)絡(luò)攻擊的能力 典型的個(gè)人防火墻軟件主要有 NortonInternetSecurity ZoneAlarmPro BlackIce 天網(wǎng)防火墻 個(gè)人版 綠色警戒等 返回本章首頁(yè) 防網(wǎng)站惡意代碼對(duì)于單機(jī)上網(wǎng)用戶來(lái)說(shuō) 網(wǎng)站惡意代碼是威脅用戶安全的主要因素 為了防網(wǎng)站惡意代碼的危害 不讓其執(zhí)行是其中的關(guān)鍵 可以在IE瀏覽器的安全設(shè)置中禁止VBScript和JavaScript的執(zhí)行 此外 如今的防病毒軟件大多數(shù)也具有檢測(cè)并殺除網(wǎng)站惡意代碼的能力 返回本章首頁(yè) 電子郵件安全從技術(shù)上看 沒(méi)有任何辦法可以阻止攻擊者截獲需要在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包 保護(hù)電子郵件安全的唯一方法就是讓攻擊者截獲了數(shù)據(jù)包但無(wú)法閱讀它 即對(duì)電子郵件的內(nèi)容進(jìn)行某種形式的加密處理 目前已經(jīng)出現(xiàn)了不少解決電子郵件安全問(wèn)題的加密系統(tǒng)解決方案 其中最具代表性的是PGP加密系統(tǒng) 返回本章首頁(yè) 2 Windows2000 XP安全解決方案針對(duì)Windows98的安全措施對(duì)Windows2000 XP同樣有效 也是Windows2000 XP安全解決方案的重要組成部分 此外Windows2000 XP的可管理性比Windows98要強(qiáng)得多 本小節(jié)主要從安全管理和安全配置方面進(jìn)行介紹 返回本章首頁(yè) 1 Windows2000 XP安全管理停用Guest帳號(hào)限制不必要的用戶數(shù)量創(chuàng)建2個(gè)管理員用帳號(hào)把系統(tǒng)administrator帳號(hào)改名創(chuàng)建一個(gè)陷阱帳號(hào)把共享文件的權(quán)限從 everyone 組改成 授權(quán)用戶 返回本章首頁(yè) 使用安全密碼設(shè)置屏幕保護(hù)密碼使用NTFS格式分區(qū)保障備份盤(pán)的安全 返回本章首頁(yè) 2 Windows2000安全配置利用win2000 XP的安全配置工具來(lái)配置策略關(guān)閉不必要的服務(wù)關(guān)閉不必要的端口打開(kāi)審核策略開(kāi)啟密碼策略開(kāi)啟帳戶策略設(shè)定安全記錄的訪問(wèn)權(quán)限 返回本章首頁(yè) 不讓系統(tǒng)顯示上次登陸的用戶名到微軟網(wǎng)站下載最新的補(bǔ)丁程序禁止建立空連接關(guān)閉默認(rèn)共享禁止dumpfile的產(chǎn)生關(guān)機(jī)時(shí)清除掉頁(yè)面文件禁止從軟盤(pán)和CDRom啟動(dòng)系統(tǒng)考慮使用智能卡來(lái)代替密碼慮使用IPSec 返回本章首頁(yè) 10 4內(nèi)部網(wǎng)絡(luò)安全管理制度 面對(duì)網(wǎng)絡(luò)安全的脆弱性 除在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能 完善系統(tǒng)的安全保密措施外 還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理 下面提出有關(guān)信息系統(tǒng)安全管理的若